Η Cisco ανακοίνωσε την Τετάρτη ενημερώσεις για προϊόντα ασφάλειας τελικού σημείου, cloud και ιστού για την αντιμετώπιση μιας κρίσιμης ευπάθειας στη βιβλιοθήκη σάρωσης τρίτου κατασκευαστή ClamAV.
Μια εργαλειοθήκη ανοιχτού κώδικα πολλαπλών πλατφορμών κατά του κακόβουλου λογισμικού, το ClamAV μπορεί να ανιχνεύσει trojans, ιούς και άλλους τύπους κακόβουλου λογισμικού.
Στις 15 Φεβρουαρίου, οι συντηρητές του ClamAV ανακοίνωσε κρίσιμα patches που αντιμετωπίζουν δύο ευπάθειες στη βιβλιοθήκη, η πιο σοβαρή από τις οποίες θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα.
Παρακολούθηση ως CVE-2023-20032 (βαθμολογία CVSS 9,8), το ζήτημα βρίσκεται στον αναλυτή αρχείων HFS+ και επηρεάζει τις εκδόσεις ClamAV 0.103.7 και προγενέστερες, 0.105.1 και παλαιότερες, και 1.0.0 και παλαιότερες.
Ένας έλεγχος του buffer που λείπει στον αναλυτή θα μπορούσε να οδηγήσει σε εγγραφή υπερχείλισης buffer σωρού. Ένας εισβολέας θα μπορούσε να υποβάλει ένα δημιουργημένο αρχείο διαμερίσματος HFS+ για σάρωση, ενεργοποιώντας την ευπάθεια.
“Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να εκτελέσει αυθαίρετο κώδικα με τα προνόμια της διαδικασίας σάρωσης ClamAV ή αλλιώς να διακόψει τη διαδικασία, με αποτέλεσμα μια συνθήκη άρνησης υπηρεσίας (DoS)”, εξηγεί η Cisco στο συμβουλευτικό του.
Παρακολούθηση ως CVE-2023-20052 (βαθμολογία CVSS 5,3), το δεύτερο ελάττωμα είναι μια έγχυση εξωτερικής οντότητας XML (XXE) που μπορεί να ενεργοποιηθεί με την υποβολή δημιουργημένων αρχείων DMG για σάρωση, με αποτέλεσμα τη διαρροή byte από αρχεία που διαβάζονται από το ClamAV.
Τα επηρεαζόμενα προϊόντα Cisco περιλαμβάνουν το Secure Endpoint (πρώην Advanced Malware Protection, AMP), το Secure Endpoint Private Cloud και το Secure Web Appliance (πρώην Web Security Appliance).
Σύμφωνα με τον τεχνολογικό γίγαντα, το Secure Email Gateway (πρώην Email Security Appliance) και το Secure Email and Web Manager (πρώην Security Management Appliance) δεν επηρεάζονται.
Στις 15 Φεβρουαρίου, η Cisco ανακοίνωσε ενημερώσεις για τα επηρεαζόμενα προϊόντα που αντιμετωπίζουν την ευπάθεια, μαζί με ενημερώσεις κώδικα για ζητήματα υψηλής σοβαρότητας στο λογισμικό Nexus Dashboard και το Secure Email Gateway.
Η ακατάλληλη επεξεργασία των αιτημάτων DNS στο λογισμικό Nexus Dashboard θα μπορούσε να επιτρέψει σε έναν εισβολέα να στέλνει μια συνεχή ροή αιτημάτων DNS για να προκαλέσει μια συνθήκη DoS.
Παρακολούθηση ως CVE-2023-20014 (βαθμολογία CVSS 7,5), το ελάττωμα αντιμετωπίστηκε με την κυκλοφορία του Nexus Dashboard έκδοση 2.3(1c). Συνιστάται στους χρήστες των εκδόσεων 2.2, 2.1 ή 2.0 και προγενέστερων του λογισμικού δικτύωσης να κάνουν αναβάθμιση σε μια ενημερωμένη έκδοση το συντομότερο δυνατό.
Δύο τρωτά σημεία που δεν εξαρτώνται το ένα από το άλλο αντιμετωπίστηκαν στο Secure Email Gateway αυτήν την εβδομάδα, με την κυκλοφορία των ενημερώσεων λογισμικού AsyncOS.
Το πρώτο από τα ελαττώματα, το CVE-2023-20009, επηρεάζει επίσης το Secure Email και το Web Manager και θα μπορούσε να επιτρέψει σε έναν εισβολέα (απομακρυσμένο ή τοπικό) να ανυψώσει τα δικαιώματα στο root. Απαιτείται έλεγχος ταυτότητας για επιτυχή εκμετάλλευση.
Το δεύτερο ζήτημα, το CVE-2023-20075, επηρεάζει μόνο το Secure Email Gateway και θα μπορούσε να επιτρέψει σε έναν πιστοποιημένο, τοπικό εισβολέα, να εκτελεί αυθαίρετες εντολές.
Η Cisco ανακοίνωσε επίσης ενημερώσεις κώδικα για τρία σφάλματα μέσης σοβαρότητας στο λογισμικό AsyncOS για Secure Web Appliance, Nexus Dashboard και Identity Services Engine (ISE).
Ο τεχνολογικός γίγαντας λέει ότι δεν γνωρίζει ότι κάποιο από αυτά τα τρωτά σημεία εκμεταλλεύεται σε επιθέσεις. Μπορείτε να βρείτε πρόσθετες πληροφορίες σχετικά με τις επιλυμένες ατέλειες στην σελίδα ασφάλειας προϊόντων της Cisco.